get_queried_object(); $id = $cu->ID; ?>
Bjørn Erik Thon

Helseministeren skyter på feil blink

Det pågår en kamp om hvem som har skylden for at Smittestopp ble vraket. Helse- og omsorgsminister Bent Høie har ved flere anledninger gått langt i å antyde at Datatilsynet har skyld i at Folkehelseinstituttet (FHI) avviklet appen og slettet alle data. Han kritiserer blant annet at Datatilsynet «i veldig stor grad la vekt på forholdsmessigheten i tiltaket», og for at det er vår skyld at man ikke fikk tilgang til viktige data om smittespredning.

Det er selvsagt helt legitimt å være uenig i vår vurdering. Men Høies argumentasjon er omtrent som å si at man kommer fortere fram hvis man kjører i 100 km/t i 80–sonen, og at det er politiets skyld dersom man blir stoppet og får en bot. Datatilsynets konklusjon er bygd på en meget grundig analyse av appen, både teknisk og juridisk. Vurderingen av løsningen er gjort opp mot personvernforordningen og personopplysningsloven, som igjen henter viktige prinsipper fra Den europeiske menneskerettighetskonvensjonen.

Grundig vurdering og bred enighet

Det er bred enighet om at en app som Smittestopp er et stort inngrep i den enkeltes privatliv.

I en situasjon uten koronavirus ville det vært helt utenkelig at myndighetene skulle utvikle en app som samlet inn opplysninger om hvem vi borgere var i nærkontakt med, og hvor vi beveget oss – og lagre opplysningene i et sentralt lager.

Selv i en koronasituasjon stilles imidlertid strenge krav til både teknologivalg, det juridiske rammeverket som regulerer bruken og selvsagt om appen faktisk har noen nytte.

Høie sier at vi la «veldig stor vekt på forholdsmessigheten i tiltaket», og at «Smittetopp var i tråd med godt personvern». Det er riktig at vi la vekt på forholdsmessigheten, fordi det er selv kjernen i personvernet: Ulike hensyn må veies mot hverandre. Vi vurderte en rekke ulike momenter. Blant annet la vi vekt på at appen hadde tre formål i ett samtykke:

  • sporing av nærkontakter,
  • modellering av smittespredning og
  • forskning.

Dette er problematisk, fordi det fratar borgerne retten til selv å bestemme hva personopplysningene deres skal brukes til.

Det ble også brukt posisjoneringsdata (GPS) i smittesporingen. I personvernet er dataminimaliseringsprinsippet viktig. Det betyr at man aldri skal samle inn mer data enn man trenger for å oppnå formålet med behandlingen. I nær sagt alle toneangivende teknologimiljøer er det bred enighet om at det er unødvendig å bruke GPS i smittesporingen, noe som brøt med det nevnte prinsippet.

I sum utgjorde dette et betydelig inngrep i den enkeltes personvern. Da må det foreligge solid dokumentasjon for at appen faktisk har en nytte. Problemet var at slik dokumentasjon ikke fantes. Da vi fattet vårt vedtak hadde 14 prosent av befolkningen over 16 år lastet ned appen, mens FHI mente det burde være minst 50 prosent, helst 60 prosent, oppslutning for at den skulle ha den nødvendige effekten. De sa også at det var «vanskelig å validere om riktige personer ble varslet, ikke for få, ikke for mange», grunnet smittesituasjonen i midten av juni.

Vår konklusjon var derfor at appen var ulovlig fordi det ikke kunne dokumenteres at nytten av appen forsvarte alvorligheten i personverninngrepet.

Skyter på feil blink, og bommer

Høie står fritt til å mene at appen var «i tråd med godt personvern». Men det er verdt å merke seg at Smittestopp var i direkte strid med veiledning fra Personvernrådet, som er EUs øverste personvernorgan. Stortinget vedtok at formålene i appen måtte deles opp, slik at man for eksempel kunne velge kun å si ja til smittesporing, men nei til modellering av smittespredning.

Den norske appen har også blitt kritisert av Amnesty International. De rangerer appen som en av de aller mest inngripende i menneskerettighetsperspektiv.

Ekspertgruppen som ble oppnevnt av Helse- og omsorgsdepartementet, konkluderte 20. mai med at verken personvern eller informasjonssikkerhet i appen var godt nok ivaretatt. Omtrent samtidig kom mer enn 60 fremtredende IT-eksperter med bred kritikk av appen. Og så vidt vi er kjent med, har ingen land det er naturlig å sammenligne oss med, valgt en løsning som er så inngripende som den norske.

Mye kunne vært gjort annerledes i denne saken, men etterpåklokskap står seg dårlig i den krevende tiden vi lever i.

Å skylde på Datatilsynet for at man nå ikke «får den kunnskapen som denne appen kunne gitt oss», blir å skyte på feil blink.

Jeg tror det kunne vært mulig å utvikle en app som fylte de formålene Høie ønsker, men da måtte man blant annet ha brukt mer tid, utviklet annen teknologi, lyttet til Stortinget, gitt borgerne mer selvbestemmelse og trukket mer på bredden i det teknologiske miljøet (som man finner blant de som skrev under på oppropet nevnt over). At man nå, mer enn et halvt år etter at samfunnet stengte ned, ikke har en app på plass, skyldes ikke Datatilsynet.

(Denne kronikken var også publisert i Dagbladet 7. oktober 2020.)

Bjørn Erik Thon

Personvern i en krisetid

Hvilke tiltak vi iverksetter i dag vil ikke bare påvirke hvordan pandemien utvikler seg, men også hvilket samfunn vi skal leve i når sykdommen har rast fra seg. Den viktigste oppgaven i verden nå er å håndtere koronapandemien. Det er så viktig at vi setter nesten alt...

les mer
Tobias Judin

Når reklamen ser deg

Du er kanskje vant til å se reklame overalt du beveger deg. Har du noen gang tenkt på at reklamen kanskje ser deg også? Noen reklameskilt har et innebygget kamera som analyserer ansiktene til forbipasserende. På denne måten kan reklamebudskapet tilpasses til...

les mer
Bjørn Erik Thon

Barn fortjener bedre personvern i skolen

Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå. Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar. I dag markeres den internasjonale...

les mer
Ove Skåra

Kloke råd fra ett personvernombud til oss 1 700 andre

I mine to roller som henholdsvis Datatilsynets eget personvernombud og kontaktperson for de over 1 700 personvernombudene «der ute», har jeg fått god kjennskap til hvor spennende, men også utfordrende, ombudsrollen kan være. Personvernombudene opplever å ha...

les mer
Tobias Judin

Menneskerettigheter er ingen synsesak

(Dette innlegget sto på trykk i Dagens Næringsliv 7. oktober 2019.) Føyen og Langeland stiller seg kritiske til en mulig lovendring som de mener «vil gi Datatilsynet mer makt». De mistolker innholdet i lovendringen, unnlater å nevne bakgrunnen og hopper bukk over...

les mer
Bjørn Erik Thon

En personvernguide til Arendalsuka 2019

Et av årets personvernhøydepunkter nærmer seg, nemlig Arendalsuka! Datatilsynet har vært aktivt tilstede de siste årene, og 2019 blir intet unntak. Vi ser med glede at personvern er på agendaen i mange sesjoner, og selv om det ikke alltid er hovedtema, er personvern...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading